Elementare Zahlentheorie und Kryptographie

Weitere Magazine

Empfehlungen

Info

gilt. Sei Z(N) die Menge der Solovay-Strassen-Zeugen (in diesem Abschnitt kurz: Zeugen) gegen die Primalität von N. Aus dem Satz von Euler 6.1.3 folgt: Wenn Z(N) ≠ ∅, dann ist N sicher zusammengesetzt. Oder anders gesagt: Wenn N prim ist, dann gilt Z(N) = ∅. Lemma 6.3.1 Wenn N zusammengesetzt ist, dann gibt es eine zu N teilerfremde Zahl a ∈ Z(N). Beweis. Siehe [So]. Satz 6.3.2 Wenn N zusammengesetzt ist, dann ist |Z(N)| ≥ N 2 . Beweis. Sei U = {[a] : 1 ≤ a ≤ N − 1 zu N teilerfremd und a /∈ Z(N). Dies ist eine Untergruppe von (Z/N) × . Nach dem Lemma gilt U ≠ (Z/N) × . Da |U| ein Teiler von ϕ(N) sein muß, folgt |U| ≤ ϕ(N)/2 ≤ N/2. Daher gilt die Behauptung. □ Zusammenfassend kann man sagen: a) Wenn N prim ist, dann ist Z(N) = ∅. b) Wenn N zusammengesetzt ist, dann sind mindestens 50 Prozent der Zahlen im Bereich {0, · · · , N − 1} Zeugen gegen die Primalität von N. Algorithmus 6.3.3 (Solovay-Strassen-Test) Eingabe: N ungerade und ein Steuerparameter t, der die Fehlerwahrscheilichkeit regelt. Man testet für t Zufallszahlen im Bereich a ∈ {0, · · · , N − 1}, ob a ∈ Z(N). Wird dabei ein Zeuge gegen die Primalität von N gefunden, gib aus “N ist zusammengesetzt”. Wird dabei kein Zeuge gegen die Primalität von N gefunden, gib aus “N ist wahrscheinlich prim”. Die Fehlerwahrscheinlichkeit dieses Monte-Carlo-Verfahrens ist ≤ 2 −t . 6.4 Das Rabin-Verfahren Sei R ein Ring und a ∈ R. Wir bezeichnen mit sqrt R (a) die Lösungsmenge der Gleichung X 2 = a über R. Wenn R ein Körper ist, dann gilt |sqrt R (a)| ≤ 2, da ein Polynom zweiten Grades über einem Körper höchstens zwei Nullstellen hat. 91
Wir erinnern an die Hauptergebnisse aus Abschnitt 6: a) Für n ∈ Z und m > 0 ungerade läßt sich das Jacobi-Symbol ( n m) mit dem Algorithmus ?? schnell (in Polynomzeit) berechnen. ( b) Sei p ≠ 2 prim. Für a ∈ F p hat die Gleichung X 2 = a (∗) genau ( ) Lösungen. Z.B. hat (∗) keine Lösung genau dann, wenn = −1. ( c) Sei p = 3 mod 4 und a p a p a p ) + 1 ) ≠ −1. Dann ist X 2 = a lösbar und die Lösungsmenge kann durch die Formel sqrt Fp (a) = {a p+1 4 , −a p+1 4 } schnell berechnet werden (Square and Multiply). ( d) Auch im Fall p = 1 mod 4 und a p ) ≠ −1 kann sqrt Fp (a) in Polynomzeit berechnet werden; der Algorithmus dafür ist aber etwas komplizierter als die Formel in c). Siehe 6.2.6 und 6.2.7. Seien nun p ≠ q ungerade Primzahlen und N = pq. Wie berechnet man Wurzeln in Z/N? Berechnung von Wurzeln in Z/pq, wobei p und q bekannt sind. Der chinesische Restsatz 2.6.1 liefert einen Isomorphismus f : Z/N → F p × F q , [x] N ↦→ ([x] p , [x] q ). f und f −1 sind schnell berechenbar mit dem euklidischen Algorithmus. Zur Erinnerung: Sei ([a] p , [b] q ) ∈ F p × F q . Sei x ∈ {0, · · · , N − 1} die Lösung des Systems x = a mod p x = b mod q von Kongruenzen. Dann gilt [x] N = f −1 ([a] p , [b] q ). Um X 2 = [a] N (∗) über Z/N zu lösen genügt es also (X 1 , X 2 ) 2 = ([a] p , [a] q ) über F p × F q zu lösen und das läuft auf die (nicht gekoppelten) Gleichungen X1 2 = [a] p (∗∗ 1 ) über F p und X2 2 = [a] q (∗∗ 2 ) über F q hinaus. Man ist also durch den chinesischen Restsatz darauf zurückgeführt, die Gleichungen (∗∗ 1 ) und (∗∗ 2 ) mit den Methoden aus Abschnitt 6 zu lösen, und dann gewisse Systeme von Kongruenzen zu lösen. Wir gehen auf die Details ein. ( Wenn a p ) ( = −1 oder a q ) = −1 gilt, dann hat (∗∗) und auch (∗) keine Lösung. ( ) ( ) a a Nimm nun p ≠ −1 und q ≠ −1 an. Dann wird (∗∗) und auch (∗) Lösungen haben. Wir wollen diese finden. Berechne w p ∈ sqrt Fp ([a] p ) eine Wurzel aus [a] p in F p . Diese kann mit den Methoden aus 6 schnell berechnet werden. (Wenn p = 3 mod 4, dann kann 92
Seite 1 und 2:
Elementare Zahlentheorie und Krypto
Seite 3 und 4:
ithmische Zahlentheorie” abgedeck
Seite 5 und 6:
3.2 Der Miller-Rabin-Primzahltest .
Seite 7 und 8:
Beispiele: Das klassische Beispiel
Seite 9 und 10:
X = x 1 · · · x N der Länge N w
Seite 11 und 12:
Bevor wir zur Kryptoanalyse der Vig
Seite 13 und 14:
1.4 Permutationen und monoalphabeti
Seite 15 und 16:
War II” genannt, weil er bei der
Seite 17 und 18:
hat auf beiden Seiten 26 Anschlüss
Seite 19 und 20:
Schlüsselbucheinträge für die En
Seite 21 und 22:
Mit insgesamt 77 Bit ist der Schlü
Seite 23 und 24:
1.6 Kryptoanalyse der Enigma Wie ge
Seite 25 und 26:
Aus dem Übergangsgraphen lassen si
Seite 27 und 28:
Elementen 0, 1 ∈ R derart, dass f
Seite 29 und 30:
von a und b genannt, wenn g ein gr
Seite 31 und 32:
Satz 2.2.2 (Z, | |) ist ein euklidi
Seite 33 und 34:
Beispiel: Wir wollen ggT(51, 33), a
Seite 35 und 36:
p die einzigen nicht-negativen Teil
Seite 37 und 38:
Arbeiten mit Kongruenzen ist es rec
Seite 39 und 40:
Sei wieder (G, +) eine abelsche Gru
Seite 41 und 42: 1. Genau dann ist [x] eine Einheit
Seite 43 und 44: ist die Menge der Nicht-Einheiten v
Seite 45 und 46: nach 2.6.1, Teil 1. Algorithmus 2.6
Seite 47 und 48: Beweis: Weil a zu N teilerfremd ist
Seite 49 und 50: werden. Dann benutzt man die Formel
Seite 51 und 52: [a m20 ] ≠ [1] muß t ≥ 1 gelte
Seite 53 und 54: von der Länge ca. 1024 Bit (d.h. c
Seite 55 und 56: Es wird vermutet, daß es keinen Po
Seite 57 und 58: Beweis. Sei wieder x := 1 2 (p + q)
Seite 59 und 60: Kapitel 4 Diskreter Logarithmus 4.1
Seite 61 und 62: Beweis: Sei n := ord(x). Offenbar g
Seite 63 und 64: für alle x, y ∈ G. Man beachte:
Seite 65 und 66: Bemerkung 4.1.8 Sei G eine endliche
Seite 67 und 68: d.h. mit x j = f j (x 0 ), wobei f
Seite 69 und 70: ereitgestellt. Dies ist wesentlich
Seite 71 und 72: Kapitel 5 Public-Key-Verfahren, die
Seite 73 und 74: Satz 5.1.2 (Primzahlen in arithmeti
Seite 75 und 76: Der Nachrichtenraum des Verfahrens
Seite 77 und 78: Beispiel: Betrachten wir die Usergr
Seite 79 und 80: a) Ein Angreifer Oskar möchte auch
Seite 81 und 82: Erzeugung der ElGamal-Signatur: Um
Seite 83 und 84: Sei T (Trustcenter) ein User, desse
Seite 85 und 86: ( Für zwei Zahlen a, b ∈ Z mit a
Seite 87 und 88: 3. Für b, c ∈ N ungerade und u
Seite 89 und 90: ) /* Ende while if(a=0, s:=0); Ausg
Seite 91: Algorithmus 6.2.6 (Algorithmus für
Seite 95 und 96: Daraus 2 folgt, daß (∗) keine L
Seite 97 und 98: schickt. Oskar überlegt sich, was
Alle anzeigen

Elementare Zahlentheorie und Kryptographie

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?